LC1783VAW - VPN Probs nach Update auf 10.40

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von Fourty2 »

Hallo zusammen,

eine bis zum Update auf 10.40 funtionierende Konfiguration zur VPN-Einwahl per Android (Strongswan mit Zertifikat, nach Forumsanleitung) funktioniert nun nicht mehr (ein-aus-ein-aus...)

Auf Android-Seite steht folgendes(wiederholt) im Log:

Code: Alles auswählen

May 22 20:09:14 09[ENC] generating CREATE_CHILD_SA response 0 [ N(NO_PROP) ]
May 22 20:09:14 09[NET] sending packet: from 172.16.186.189[56542] to 87.**.**.95[4500] (65 bytes)
May 22 20:09:14 08[IKE] reauthenticating IKE_SA android[2]
May 22 20:09:14 08[IKE] deleting IKE_SA android[2] between 172.16.186.189[C=DE [..]]...87.79.74.95[C=DE [..].de]
May 22 20:09:14 08[IKE] sending DELETE for IKE_SA android[2]
May 22 20:09:14 08[ENC] generating INFORMATIONAL request 2 [ D ]
May 22 20:09:14 08[NET] sending packet: from 172.16.186.189[56542] to 87.**.**.95[4500] (65 bytes)
May 22 20:09:14 07[NET] received packet: from 87.**.**.95[4500] to 172.16.186.189[56542] (257 bytes)
May 22 20:09:14 07[ENC] parsed CREATE_CHILD_SA request 1 [ SA KE No TSi TSr ]
May 22 20:09:14 07[IKE] unable to create CHILD_SA while deleting IKE_SA
May 22 20:09:14 07[ENC] generating CREATE_CHILD_SA response 1 [ N(TEMP_FAIL) ]
Wo könnte da was schief laufen - "Ochs vorm Berg"...

Stefan
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

Re: LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von Fourty2 »

DIY...

Die IPv4-Regel "Manuel" mit "WIZ-ANY-TO-ANY" aus 1811'er Zeiten und IKE.CFG "Server" mag das wohl nicht mehr.

Mit der "Intranet" Entsprechung und 0.0.0.0/32 geht es dann wieder.
Ob es auch von außen klappt, wird sich zeigen.

Stefan
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von GrandDixence »

Code: Alles auswählen

May 22 20:09:14 09[ENC] generating CREATE_CHILD_SA response 0 [ N(NO_PROP) ]
Es wurde ein IKE-Telegramm versendet, welches keine Proposals (Verschlüsselungsmethodenvorschläge, kurz "PROP") enthielt. Da sich so die beiden VPN-Endpunkte auf keine Verschlüsselungsmethode einigen können und damit der VPN-Tunnel erfolglos abgebrochen wird, versteht sich von selbst.

VPN-Konfiguration mit der aktuellen Version der entsprechenden VPN-Anleitungen abgleichen:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Die VPN-Anleitungen für Android<->LANCOM und LANCOM<->LANCOM funktionieren einwandfrei mit der aktuellen Stable-Version von LCOS: 10.32 RU4. Ich habe keine Lust, für LANCOM den Gratis-BETA-Tester zu spielen. Deshalb werde ich mich hüten, den Stable-Zweig zu verlassen:
https://www.lancom-systems.de/produkte/ ... ebersicht/
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

Re: LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von Fourty2 »

War auch nur ein Test, man ist ja Update-Kummer gewohnt. Und das betrifft nicht nur Lancom.

Wie auch immer, nach Deiner Anleitung (Danke!)funktionierte es mit LCOS 10.32.0176 (RU9) bisher immer stabil und wunschgemäß.

Grüße,
Stefan
Mettwurscht
Beiträge: 2
Registriert: 14 Aug 2020, 09:27

Re: LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von Mettwurscht »

Ich hatte an einem 1781EF+ ein ähnliches Problem: Der Lancom ist der Endpunkt und zwei Fritzboxen (7390 und 7590) jeweils mit aktueller FW bauen dorthin eine Verbindung auf. Nach einem Update von 10.32 auf 10.40Rel hat nur eine Verbindung davon nicht mehr funktioniert (7590). Die 7390 konnte den Tunnel problemlos initiieren. Ich hatte dann ewig und drei Tage mit der manuellen VPN-Konfiguration rumgespielt, jedoch mit keinem Erfolg.

Als ich den Lancom dann auf 10.32 downgradet habe, liefen beide Tunnel wieder. Nach einem erneuten Update, diesmal über die 10.34 wieder zur 10.40 lief es weiterhin.

Das Ticket wurde von Lancom auch wieder geschlossen, weil hat ja dann wieder funktioniert.
Fourty2
Beiträge: 104
Registriert: 06 Jan 2005, 13:56

Re: LC1783VAW - VPN Probs nach Update auf 10.40

Beitrag von Fourty2 »

Das Problem ist die DNS-Auflösung. Geht die schief (scheint manchmal zu passieren), trägt ein Gateway seine interne IP in die SA-Regeln ein und nix geht. Besser auf beiden Seiten direkt die IP eintragen.

Stefan
Antworten